WAFとは - 仕組みや種類、ファイアウォール・IPS/IDSとの違い | セキュリティ用語

最終更新日:
WAFとは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。WAFの仕組みや種類、効果、導入事例、ファイアウォールやIPS/IDSとの違いをボクシルが解説します。危険な目に合う前にWAFでリスクを低減しませんか?
セキュリティWAF

多様化するサイバー攻撃の脅威から自社のWebサイトやシステムを守るためには、セキュリティの強化が不可欠だとお考えなのではないでしょうか。特に最近では総合的なセキュリティの構築に注目が集まっています。

Webアプリケーションを不正な攻撃から守る、WAF(Web Application Firewall)もそのひとつ。WAFの意味や導入効果はもちろん、他のセキリュティとの違いなどを詳しく理解し、総合的なセキュリティについて考えてみましょう。

関連記事
ファイアウォールとは
IPS・IDSとは
WAFの導入事例
WAF製品の比較
クラウドWAFの比較

WAFとは

WAFとはウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。

WAFは「Web Application Firewall(ウェブアプリケーションファイアウォール)」を意味する略称で、頭文字をとってWAF(ワフ)と呼ばれています。WAFはWebアプリケーション特化型のセキュリティソリューションです。

セキュリティの対象は、ネットショッピングなどのユーザー/Webサイト間のデータ送受信や、SNSログインなどのユーザーリクエストに対し、動的ページが生成されるWebサイトなどになります。

WAFの役割

それでは、さまざま通信レイヤーのあるネットワークで強固なセキュリティを確保するため、WAFはどのような役割を持ち、どのような特徴を備えているのでしょうか。

詳細は後述しますが、多様化するサイバー攻撃を防ぐため、WAFでは次のようなセキュリティソリューションが通信レイヤーごとに活用されています。

名称 保護のレベル
ファイアウォール ネットワークレベルの保護
IPS/IDS サーバーOS/ミドルウェアレベルの保護
WAF Webアプリケーションレベルの保護

つまり、WAFはWebアプリケーションの前面に配置されるという特徴を持ち「ファイアウォール」「IPS/IDS」で保護が不可能な攻撃を、アプリケーションレベルで解析することにより無効化するという役割を持っているのです。

次の記事では、WAFの役割と特徴についてより詳しく解説しています。

WAFの導入事例 | サイバー攻撃を無害化するWAF活用術 | ボクシルマガジン
Webアプリケーションのぜい弱性を狙った悪質なサイバー攻撃が後を絶たない中、効果的な対策としてWAFが注目されてい...

WAFの仕組み

これも詳しくは後述しますが、WAFには「Webアプリケーションの前面に配置する」方法によって、次の3種類が存在します。

いずれのタイプも、シグネチャと呼ばれる「不正な通信や攻撃パターンなどを定義したファイル」を持ち、アクセスをシグネチャと照らし合わせることで悪意ある攻撃を判断する、という仕組みによってWebアプリケーションを保護します。

悪意のある攻撃は、Webサイトのセキュリティ欠陥(=ぜい弱性)を狙って行われます。もっとも望ましいのは欠陥自体を修正することですが、何らかの理由で修正を行えないというケースは少なくありません。しかし、WAFを用いることで防御対策を行えます。

WAFに関して知っておきたい用語一覧はこちらをご覧ください。

クラウドWAF徹底比較13選【価格&機能比較表あり】 | ボクシルマガジン
Webサイトを外部攻撃から守るセキュリティ対策ツール「WAF」を徹底解説。 ツールの比較紹介とともに、WAFを理解...

WAF製品の選び方はこちらの記事をご覧ください。

WAF製品の比較22選 | 選び方や導入のポイントも解説 | ボクシルマガジン
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された22製品を比較するとともに、...

WAF製品の選び方ガイドは、本記事の一番下に掲載しています。ぜひ参考になさってください。

ファイアウォール・IPS/IDSとの違い

ファイアウォール、IPS/IDS、WAFには、それぞれに守備範囲と得意分野がありますが、すべてが必要なシステムです。

それぞれの領域で防御が機能することによって、より強固なセキュリティの壁が作られるということです。

多様化するサイバー攻撃の防御には、ファイアウォール、IPS/IDS、WAFの3つの壁を利用する、総合的なセキュリティ構築が求められています。

ファイアウォール

ファイアウォールは、ネットワークにおいて不正アクセスを防御するセキュリティです。

IPアドレスやポート番号など、通信時にやりとりされる送信先および送信元の情報から通信を許可するかどうかを判断し、内部ネットワークへの侵入を防ぐ役割を担います。

IPS/IDS

IPS/IDSは、OSやミドルウェアなどプラットフォームレベルでのセキュリティであり、それぞれInstrusion Detection System(=IDS)とIntrusion Detection and Protection System(=IPS)が正式名称です。

ホスト型とネットワーク型にわかれ、防御範囲の広さが特徴です。設置場所によって役割は多少異なりますが、不正アクセスの監視、攻撃の検知および防御を行います。異常を検知すると管理者へ通知。万一の際に迅速な対応を行うことを目的として用いられます。

WAFの種類

WAFには大きく3つのタイプあり、導入および運用方法の違いでアプライアンス型、ソフトフェア型、クラウド型にわかれます。

アプライアンス型

防御に必要な専用機器(=ハードウェアアプライアンス)をネットワーク上に設置し、ソフトウェアを組み込んで利用する方法です。アプライアンスの購入と設置に併せ、運用も自社で行う必要があるため、トータルコストは他のWAFと比較するともっとも高くなります。

一方でネットワークでの構築となることから、大規模でも高いコストパフォーマンスが期待できます。

ソフトウェア型

既存のサーバーにソフトウェアをインストールするタイプのWAF。専用機器の設置が不要のため、導入コストの削減や短期間での導入が可能です。

ただし、ソフトウェアのインストールはサーバーごとに行う必要があるため、規模とコストが比例します。システム規模の見通しを誤ると運用コストが膨らみ続けるため、導入には十分な検討が必要です。運用はアプライアンス型と同じく自社で行います。

クラウド型

クラウド型WAFはサーバーの構築や機器の購入などが不要で、ネットワークの設定変更を行えば導入できるタイプ。費用面や導入期間などを比較すると、3タイプの中でもっとも効率的な運用が行えるのがクラウド型です。

また自社での運用も不要で、予算の見通しが立てやすい点も特徴。これらのメリットからクラウド型を選択する企業が増えており、近年セキュリティ市場で急成長を遂げています。

WAFの効果

多くの攻撃から防御

DDoS攻撃、バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、ブルートフォースアタック…。Webサイトへの攻撃にはさまざまなものがあります。

WAFは一般的なファイアウォールでは防御できない攻撃にも対応可能です。WAFの提供を行う企業が、最新の攻撃にも迅速に対応する仕組みを整備しており、常に最先端の防御体制でWebサイトを攻撃から守れます。

DDos攻撃とは | Dos攻撃との違い・対策・サービス【図解】 | ボクシルマガジン
「DDos攻撃」と「Dos攻撃」の違いとは?サーバーダウンを招く両者の攻撃パターンの概要や違い、対策や対処法までを...

一時的な予防策としても

Webアプリケーションにぜい弱性が発見された場合、不正な攻撃を受けるリスクはいっそう高まります。また、オープンソースのプログラムを利用している場合など、自社では対応できないケースも考えられます。

WAFは自社ではどうにもならない状況に備えた予防策としても力を発揮します。WAFを導入していれば、根本的な解決ができるまでの間も、安心してWebアプリケーションを利用できます。

他システムで防御できない領域

悪意のある攻撃からシステムを守るセキュリティシステムはいくつか存在しますが、それぞれの防御には得意分野があり、WAFにもWAFにしか守れない領域を持っています。

WAFが専門とするのは、Webアプリケーションの領域。送信元とWebサーバーの間で通信内容を監視し、Webアプリケーションへの攻撃を未然に防ぎます。

事後対策

万一攻撃を受けてしまった場合、被害を最小限に抑えることもWAFには可能です。一般的に、Webサイトが攻撃によって被害を受けると、サービスを停止して復旧作業が行われます。メンテナンスの時間が長引けば長引くほど損失が拡大するため、いち早い復旧が求められます。

Webサイトが攻撃を受けると、WAFは素早い原因調査と問題の解消に貢献します。目の前にある危機を最小限の被害で食い止め、被害の拡大を防ぎます。

WAFの導入事例

攻撃遮断くん

攻撃遮断くんとは、サイバーセキュリティクラウドが提供する、サーバーへのあらゆる攻撃を遮断できるクラウド型のサーバーセキュリティサービスです。外部からの攻撃による情報の漏えいや、Web情報の改ざん、サービスの妨害などのさまざまな被害を未然に防げます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
攻撃遮断くんの資料を無料DL

NTTドコモの導入事例

会社名:NTTドコモ業種:情報・通信業
事業内容:携帯電話などの無線通信サービスなどを提供している大手移動体通信事業

課題:サーバー増加と複雑化により導入コストが増加

最大手の通信事業者のためデータセンターが複雑に混在している状態であり、サーバー自体も各所に何百台もある状況だった。そのため既存のサービスでは導入コストが膨大になってしまうことが問題に。

結果:使い放題プランの採用でコスト削減

攻撃遮断くんの「使い放題プラン」を採用により、複数の拠点に何百台ものサーバーが存在していても、1つの契約のみですべてのサーバーをまかなえて、圧倒的なコストパフォーマンスでサーバー運用およびコストの課題を解決。

その他の事例や攻撃遮断くんについて詳しくはこちらから。

攻撃遮断くんとは?使い方・仕組み・導入事例 | 注目クラウドWAFの機能を解説 | ボクシルマガジン
サイバーセキュリティクラウドのクラウドWAF「攻撃遮断くん」について、その仕組みや使い方、実際の導入事例などを紹介...

シマンテック クラウド型WAF

シマンテック クラウドWAFは、Symantecが提供するSaaSASPのWAFです。
SSLサーバー証明書でウェブサイトと安全に通信ができ、ウェブサイトやウェブサイトを構成するステムのぜい弱性により起こりうる情報漏えいを防ぎます。

アピリッツ

会社名:アピリッツ業種:システムインテグレータ
事業内容:各種Webサービスの企画・運営、コンサルティング・開発・保守 他

課題:海外製品の利用でトラブルが続出していた

海外製WAFを導入、運用を行ってきたが運用面に課題があった。 再起動時に Master/Slave の切り替えが正常に行われないことが多々あったり、ファームウェアアップデートが正しくアップデートが行われずに、サービス停止を伴うトラブルが発生することがあったりしたという。さらに、日本の環境では誤検知も多く運用コストが増大していた。

効果:運用に関する諸問題を解決

誤検知やアップデートなどの問題や課題となっていたエンジニアの運用負荷を大幅に削減。検証を実施し、約 1か月で移行を完了できた。

Scutum

Scutumは月額29,800円と比較的安価で利用できるセキュアスカイ・テクノロジーが提供するWAFです。
導入サイトは2,000以上と多くの実績があり、富士キメラ総研の調査結果によると国内のSaaS型WAF市場シェア連続No.1を獲得しているサービスです。

タワーレコード

会社名:タワーレコード業種:販売
事業内容:音楽ソフト、映像ソフト、書籍、雑誌、その他、雑貨などの販売・輸入・卸 他

課題:基準値を超える数のアクセスが常態化

基準値を超えるアクセスに対応するため、フロントサーバーをオンプレミスからクラウド環境への移行を行うことになった。さらに親会社のセキュリティ基準に合わせる必要も生じ、要求事項にWAFの導入が求められていた。

効果:アクセス数増加時も誤検知がなくなった

サイト全体で行うセールやポイントキャンペーンなどによってアクセスが増えるものの、期間中も誤検知を出さずに機能している。さらに、セキュリティやWAFの詳細を理解していない経営陣に対して、WAF導入の効果を示すことが、管理画面で見られる防御ログによって可視化できるという効果も大きかった。

Symantec Endpoint Protection Small Business Edition 2013

はとバス

会社名:タワーレコード業種:観光
事業内容:一般乗合旅客自動車運送事業、一般貸切旅客自動車運送事業、第2種旅行業
他

課題:想定外のSQLインジェクションによりサイトを閉鎖に追い込まれた
バス旅行の販売や広報でWebを活用しており、総予約数の30%強がウェブサイトを経由した申し込みだった。従来からセキュリティ対策を実施していたものの、SQLインジェクション攻撃を受けたことで、ウェブサイトの改ざんが行われ閲覧者がウ イルスに感染するように仕込まれた結果、ウェブサイトを閉鎖しないといけない状態に追い込まれた。

効果:Webサイトの早急な再開
アプリケーションの修正やパッチ当て、季節の商品コンテンツへの更新という作業も含めて17日間というスピードでWebサイトを再開できた。

関連記事
ファイアウォールとは
IPS・IDSとは
WAFの導入事例
WAF製品の比較
クラウドWAFの比較

WAFのおすすめサービス

WAFは種類によって導入方法や特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。おすすめのWAFサービスを紹介するので、ぜひ参考にしてください。

また、本記事で紹介しきれなかったクラウドWAFのおすすめサービスとさらなる詳細についてはこちらから無料でダウンロード可能です。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
WAFの資料を無料DL

マネージドセキュリティサービス for Imperva Incapsula


  • 専門アナリストによるアラート分析
  • レポートでセキュリティ情報把握
  • チューニング設定代行で負荷軽減

マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。

アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
マネージドセキュリティサービス for Imperva Incapsulaの資料を無料DL

AIONCLOUD 無料で始めるWAFサービス


  • 強力なセキュリティでウェブサイトを保護
  • マルウェア拡大を防止
  • リーズナブルな価格でシステム構築

AIONCLOUDは、無料ではじめられるクラウドWAFサービスです。

直感的なUIでウェブサイトのトラフィックや訪問回数、攻撃などの詳細なステータスをリアルタイムに監視でき、あらゆる攻撃からウェブサイトを保護します。マルウェアを検出した場合は素早いアクションで拡大を防止し、ウェブサイトスレットを学習することで未知の不正に対してもセキュリティ保護が可能です。

無料ではじめられる月間5GBまでのプランがあり、5GBを超える場合はビジネス規模に応じたプランを選択できるほか、従量課金プランもあります。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
AIONCLOUDの資料を無料DL

WAFの導入を検討される方へ

WAF はWebアプリケーションに特化することで優れた特徴を保有し、中でもクラウド型は導入も手軽です。またファイアウォールやIPS/IDSなど他のセキュリティと組み合わせることで、より高いセキュリティの構築が可能になることがわかりました。

情報漏えいや改ざんなどのリスクは、以前にも増して大きくなっています。甚大な損害が生じる前に、WAF導入の重要性と必要性について考えてみる必要があるのではないでしょうか。下記の記事では、導入をご検討されている方向けに、WAF製品について詳しく紹介しています。ぜひともご参考にしてくださいね!

WAF製品の比較22選 | 選び方や導入のポイントも解説 | ボクシルマガジン
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された22製品を比較するとともに、...

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

WAF
選び方ガイド
資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間1000万PV
掲載社数3,000
商談発生60,000件以上
この記事とあわせて読まれている記事